众所周知,批站出了个拜年祭的火锅加菜活动,作为有着黄金精神的WinslowEric,当然是义无反顾的把它破解了.

而且还发了个视频虾仁猪心https://www.bilibili.com/video/av83906286

话不多说,先上代码教程,这样伸手党就可以直接Alt+F4了(确信

1.打开https://api.bilibili.com/x/activity/bnj2020/hotpot/increase#up ,应该会显示”Method not allowed”(如果是412你就凉了)

2.输入下面的代码

var importJs=document.createElement('script')
importJs.setAttribute("type","text/javascript")
importJs.setAttribute("src", 'https://ajax.microsoft.com/ajax/jquery/jquery-1.4.min.js') /
document.getElementsByTagName("head")[0].appendChild(importJs)

setInterval(function(){$.post("https://api.bilibili.com/x/activity/bnj2020/hotpot/increase",{count:8,csrf:"[你的CSRF凭据]"})}, 200);

啥?你不知道你的CSRF凭据?去拜年祭加一个菜F12抓包就可以获得

接下来进入正文

在这平静的一天,WinslowEric按下了自己的F12,点击了”加菜”

很轻松的获取到了API接口地址https://api.bilibili.com/x/activity/bnj2020/hotpot/increase#up

引入jQuery($.post比较好用), CSDN复制了一个

var importJs=document.createElement(‘script’) //在页面新建一个script标签
importJs.setAttribute(“type”,”text/javascript”) //给script标签增加type属性
importJs.setAttribute(“src”, ‘https://ajax.microsoft.com/ajax/jquery/jquery-1.4.min.js’) //给script标签增加src属性， url地址为cdn公共库里的
document.getElementsByTagName(“head”)[0].appendChild(importJs)

由于B站有HTTPS,所以链接换成了https.

通过抓包抓到了自己的凭据CSRF

一开始我直接for,结果一下就被暂时封禁了…后来改成了setInterval加了延迟,实测80ms还是会封的,可以加大延迟的同时加大count

count的加大也有限制,但是不清楚

一下子就刷满了特殊食材23333